Threat Intelligence

LockBit

Jahrelang die dominierende Ransomware-Marke – bis internationale Ermittler 2024 die Infrastruktur übernahmen.

Kurz erklärt

LockBit war von 2020 bis 2024 die aktivste und einflussreichste Ransomware-as-a-Service-Operation weltweit. Im Februar 2024 übernahm die „Operation Cronos“ (NCA, FBI, Europol) die Infrastruktur; später wurde der mutmaßliche Kopf identifiziert und angeklagt. Die Gruppe versuchte einen Neustart, blieb aber deutlich geschwächt. Für die Bedrohungslage bleibt LockBit als Blaupause und wegen möglicher Nachahmer relevant.

Typ

Ransomware-as-a-Service (RaaS)

Status

Stark geschwächt – Operation Cronos 2024, nur Restaktivität (Stand: Juli 2026)

Motivation

Finanziell

Typische Ziele

Früher branchenübergreifend, alle Unternehmensgrößen weltweit

Taktiken

Affiliate-Modell, Exploits, gestohlene Zugangsdaten, Double Extortion

Risiko-Einschätzung

Reduziert – historisch prägend; ehemalige Affiliates bei Gruppen wie RansomHub aktiv

Was Unternehmen jetzt prüfen sollten

  • Grundschutz bleibt gleich: MFA, Patch-Management, Offline-Backups
  • Wachsamkeit für Nachfolge-/Nachahmer-Gruppen (z. B. RansomHub)
  • Erkennung von Datenexfiltration und lateraler Bewegung

Wie Argos unterstützt

24/7-Erkennung im Cyber Defense Center und Managed XDR schützen unabhängig von der Marke vor den TTPs des LockBit-Umfelds.